-Produktempfehlung: Kaspersky lab-

Heute möchten wir euch zeigen was wir bei der näheren Analyse zweier alter Bekannter heraus gefunden haben.
Es dreht sich um diese zwei Berichte und ihren Zusammenhang!
Bis jetzt haben wir über diese zwei Fälle immer getrennt berichtet.
Heute ist uns allerdings aufgefallen das beide Fälle sehr eng zusammen arbeiten.

Um diese
Berichte
geht es:

>> http://www.mimikama.at/allgemein/trojaner-warnung-vor-das-solltest-du-dir-ganz-dringend-ansehen/ und

>> http://www.mimikama.at/allgemein/trojaner-warnung-schockierendes-video17-jahre/

Fangen wir mit dem Post an welcher dem Nutzer ein schockierendes Video verspricht.

Im Post selbst ist die Videovorschau von Facebook nachgeahmt. Dort sehen wir ein Mädchen mit leicht herunter gezogener Hose.
Für viele ist dies schon genug an die animalischen Instinkte appelliert um dem Link im Köderpost zu folgen.

image

Wie in unserem ursprünglichen Bericht beschrieben (>> http://www.mimikama.at/allgemein/trojaner-warnung-schockierendes-video17-jahre/) öffnet sich eine Seite die YouTube nachahmt und auffordert einen Code einzugeben um das Video sehen zu können.
Schaut man sich diese Seite etwas genauer an dann kann man allerdings erkennen das diese aus mehreren Schichten besteht (man muss schon sehr genau schauen).

Eine Schicht ist die deutlich zu sehende Nachahmung einer YouTube Seite, diese liegt aber wie eine Folie über einem Facebook Kommentarfeld.
Wenn der Nutzer also nun den oben angezeigten Code in das Textfeld eingibt dann tut er dies nicht auf einer YouTube Seite sondern in einer Facebook Kommentarbox.

image

Wird nun auf „SUBMIT“geklickt dann klickt man gleichzeitig auf den darunter liegenden „Comment“ Button.
So kommen dann die bekannten „Schockierendes Video“ Posts mit der Zahlenkombination zustande.

Nachdem man diesen unbeabsichtigten Post getätigt hat sieht man das „Vorschaubild“ mit dem Mädchen und darunter einen Link „Video downloaden“.
Noch bevor man etwas anklicken kann öffnet sich allerdings ein Fenster vom Browser (in unserem Falle Firefox) und möchte eine Datei downloaden.

Das geschieht wahrscheinlich ebenso durch Eingabe der Nummer und betätigen des Buttons, denn der Link zum Video ist bereits beim ersten öffnen der Seite im Quellcode versteckt.

Die Datei hat den Namen „video_NUMMER.exe“. Die Nummer hinter „video_“ ist immer die Nummer die man vorher in das Textfeld eigegeben hat.
Der nicht allzu erfahrene Nutzer nimmt hier wahrscheinlich an das es sich hier um eine Video Datei handelt, das ist aber wie man an der Dateiendung EXE erkennen kann nicht der Fall.
Sollte der Nutzer nun noch auf den Gedanken kommen diese Datei zu öffnen nistet sich ein Trojaner auf seinem Rechner ein.

Und hier beginnt dann der Trojaner sein Werk.

Wir konnten noch nicht alle Teile des Schadcodes untersuchen und können daher auch nicht genau sagen was er alles kann und tut. Was wir bis jetzt aber erkennen konnten lässt einiges vermuten.
Das auffälligste am Aufbau dieses Trojaners ist das er (zumindest für uns) nahezu identisch ist mit den Dateien die über die Nachrichtenfunktion von Facebook verteilt werden.

Diese haben wir in dem anderen Bericht bereits behandelt.

Der Nutzer erhält von einem Freund die Nachricht mit dem Inhalt

„Das solltest du dir ganz dringend ansehen!!! http://AHEISPSX.facebook-skandale.de/VORNAME NACHNAME.exe“.

image

Verweis zu unserem Bericht: http://www.mimikama.at/allgemein/trojaner-warnung-vor-das-solltest-du-dir-ganz-dringend-ansehen/

Der Teil „facebook-skandale.de“ ist hier übereinstimmend mit der Adresse auf der auch die gefälschte YouTube Seite gespeichert ist. (Anmerkung: Die Domäne kann sich hier immer wieder ändern)
Statt hier aber nun den Umweg über den Video Fake zu gehen startet in diesem Falle sofort der Download, nachdem man den Link angeklickt hat.
Diesmal nennt sich die Datei dann „VORNAME NACHNAME.exe“ und ist wie gesagt identisch mit der „video_NUMMER.exe“. Hier werden also mittlerweile zwei Wege genutzt um ein und denselben Trojaner auf Facebook zu verbreiten.

Doch nicht nur Facebook wird von diesem Trojaner beeinflusst.

Soweit wir erkennen konnten löst er auch Aktionen, also Tweets und ReTweets auf Twitter aus. Ebenfalls im Code zu finden sind Links zu YouTube Videos, einem Browserspiel auf Facebook und mindestens einer Seite eines Online Spiele Clans.

Wie schon gesagt können wir nicht alle Fähigkeiten dieses Trojaners analysieren, wir hoffen aber euch mit diesem Bericht aufzeigen zu können wie vielfältig solche Trojaner Angriffe von statten gehen können.

Diese Website zeigt euch welche Antivirensoftware den Trojaner aktuell erkennt: https://www.virustotal.com/file/97eae9ff254299b81ea9b38eec6a2921e511c01c0c7d644826a79ec3181fdcbf/analysis/

-Mimikama unterstützen-